1．SYN Flood。SYN Flood是當(dāng)前最流行的DoS(拒絕服務(wù)攻擊)與DDoS(Distributed Denial Of Service分布式拒絕服務(wù)攻

擊)的方式之一，這是一種利用TCP協(xié)議缺陷，發(fā)送大量偽造的TCP連接請(qǐng)求，使被攻擊方資源耗盡(CPU滿負(fù)荷或內(nèi)存不足)的攻擊方式。

SYN Flood攻擊的過(guò)程在TCP協(xié)議中被稱為三次握手(Three-way Handshake)，而SYN Flood拒絕服務(wù)攻擊就是通過(guò)三次握手而實(shí)現(xiàn)的。

(1) 攻擊者向被攻擊服務(wù)器發(fā)送一個(gè)包含SYN標(biāo)志的TCP報(bào)文，SYN(Synchronize)即同步報(bào)文。同步報(bào)文會(huì)指明客戶端使用的端口以及TCP連接的初始序號(hào)。這時(shí)同被攻擊服務(wù)器建立了第一次握手。

(2) 受害服務(wù)器在收到攻擊者的SYN報(bào)文后，將返回一個(gè)SYN+ACK的報(bào)文，表示攻擊者的請(qǐng)求被接受，同時(shí)TCP序號(hào)被加一，ACK(Acknowledgment)即確認(rèn)，這樣就同被攻擊服務(wù)器建立了第二次握手。

(3) 攻擊者也返回一個(gè)確認(rèn)報(bào)文ACK給受害服務(wù)器，同樣TCP序列號(hào)被加一，到此一個(gè)TCP連接完成，三次握手完成。

具體原理是：TCP連接的三次握手中，假設(shè)一個(gè)用戶向服務(wù)器發(fā)送了SYN報(bào)文后突然死機(jī)或掉線，那么服務(wù)器在發(fā)出SYN+ACK應(yīng)答報(bào)文后是無(wú)法收到客戶端的ACK報(bào)文的(第三次握手無(wú)法完成)，這種情況下服務(wù)器端一般會(huì)重試(再次發(fā)送SYN+ACK給客戶端)并等待一段時(shí)間后丟棄這個(gè)未完成的連接。這段時(shí)間的長(zhǎng)度我們稱為SYN Timeout，一般來(lái)說(shuō)這個(gè)時(shí)間是分鐘的數(shù)量級(jí)(大約為30秒~2分鐘)；一個(gè)用戶出現(xiàn)異常導(dǎo)致服務(wù)器的一個(gè)線程等待1分鐘并不是什么很大的問(wèn)題，但如果有一個(gè)惡意的攻擊者大量模擬這種情況(偽造IP地址)，服務(wù)器端將為了維護(hù)一個(gè)非常大的半連接列表而消耗非常多的資源。即使是簡(jiǎn)單的保存并遍歷也會(huì)消耗非常多的CPU時(shí)間和內(nèi)存，何況還要不斷對(duì)這個(gè)列表中的IP進(jìn)行SYN+ACK的重試。實(shí)際上如果服務(wù)器的TCP/IP棧不夠強(qiáng)大，最后的結(jié)果往往是堆棧溢出崩潰—— 即使服務(wù)器端的系統(tǒng)足夠強(qiáng)大，服務(wù)器端也將忙于處理攻擊者偽造的TCP連接請(qǐng)求而無(wú)暇理睬客戶的正常請(qǐng)求(畢竟客戶端的正常請(qǐng)求比率非常之小)，此時(shí)從正?？蛻舻慕嵌瓤磥?lái)，服務(wù)器失去響應(yīng)，這種情況就稱作：服務(wù)器端受到了SYN Flood攻擊(SYN洪水攻擊)。

SYN COOKIE 防火墻是SYN cookie的一個(gè)擴(kuò)展，SYN cookie是建立在TCP堆棧上的，他為linux操作系統(tǒng)提供保護(hù)。SYN cookie防火墻是linux的 一大特色，你可以使用一個(gè)防火墻來(lái)保護(hù)你的網(wǎng)絡(luò)以避免遭受SYN洪水攻擊。

2．IP欺騙DOS攻擊

這種攻擊利用RST位來(lái)實(shí)現(xiàn)。假設(shè)現(xiàn)在有一個(gè)合法用戶(61.61.61.61)已經(jīng)同服務(wù)器建立了正常的連接，攻擊者構(gòu)造攻擊的TCP數(shù)據(jù)，偽裝自己的IP為61.61.61.61，并向服務(wù)器發(fā)送一個(gè)帶有RST位的TCP數(shù)據(jù)段。服務(wù)器接收到這樣的數(shù)據(jù)后，認(rèn)為從61.61.61.61發(fā)送的連接有錯(cuò)誤，就會(huì)清空緩沖區(qū)中建立好的連接。這時(shí)，如果合法用戶61.61.61.61再發(fā)送合法數(shù)據(jù)，服務(wù)器就已經(jīng)沒(méi)有這樣的連接了，該用戶就必須從新開(kāi)始建立連接。攻擊時(shí)，攻擊者會(huì)偽造大量的IP地址，向目標(biāo)發(fā)送RST數(shù)據(jù)，使服務(wù)器不對(duì)合法用戶服務(wù)，從而實(shí)現(xiàn)了對(duì)受害服務(wù)器的拒絕服務(wù)攻擊。 

?3. UDP洪水攻擊

攻擊者利用簡(jiǎn)單的TCP/IP服務(wù)，如Chargen和Echo來(lái)傳送毫無(wú)用處的占滿帶寬的數(shù)據(jù)。通過(guò)偽造與某一主機(jī)的Chargen服務(wù)之間的一次的UDP連接，回復(fù)地址指向開(kāi)著Echo服務(wù)的一臺(tái)主機(jī)，這樣就生成在兩臺(tái)主機(jī)之間存在很多的無(wú)用數(shù)據(jù)流，這些無(wú)用數(shù)據(jù)流就會(huì)導(dǎo)致帶寬的服務(wù)攻擊。

4.Ping洪流攻擊

由于在早期的階段，路由器對(duì)包的最大尺寸都有限制。許多操作系統(tǒng)對(duì)TCP/IP棧的實(shí)現(xiàn)在ICMP包上都是規(guī)定64KB，并且在對(duì)包的標(biāo)題頭進(jìn)行讀取之后，要根據(jù)該標(biāo)題頭里包含的信息來(lái)為有效載荷生成緩沖區(qū)。當(dāng)產(chǎn)生畸形的，聲稱自己的尺寸超過(guò)ICMP上限的包也就是加載的尺寸超過(guò)64K上限時(shí)，就會(huì)出現(xiàn)內(nèi)存分配錯(cuò)誤，導(dǎo)致TCP/IP堆棧崩潰，致使接受方死機(jī)。

5. 淚滴(teardrop)攻擊

淚滴攻擊是利用在TCP/IP堆棧中實(shí)現(xiàn)信任IP碎片中的包的標(biāo)題頭所包含的信息來(lái)實(shí)現(xiàn)自己的攻擊。IP分段含有指明該分段所包含的是原包的哪一段的信息，某些TCP/IP(包括service pack 4以前的NT)在收到含有重疊偏移的偽造分段時(shí)將崩潰。

6.Land攻擊

Land攻擊原理是：用一個(gè)特別打造的SYN包，它的原地址和目標(biāo)地址都被設(shè)置成某一個(gè)服務(wù)器地址。此舉將導(dǎo)致接受服務(wù)器向它自己的地址發(fā)送SYN-ACK消息，結(jié)果這個(gè)地址又發(fā)回ACK消息并創(chuàng)建一個(gè)空連接。被攻擊的服務(wù)器每接收一個(gè)這樣的連接都將保留，直到超時(shí)，對(duì)Land攻擊反應(yīng)不同，許多UNIX實(shí)現(xiàn)將崩潰，NT變的極其緩慢(大約持續(xù)5分鐘)。

7. Smurf攻擊

一個(gè)簡(jiǎn)單的Smurf攻擊原理就是：通過(guò)使用將回復(fù)地址設(shè)置成受害網(wǎng)絡(luò)的廣播地址的ICMP應(yīng)答請(qǐng)求(ping)數(shù)據(jù)包來(lái)淹沒(méi)受害主機(jī)的方式進(jìn)行。最終導(dǎo)致該網(wǎng)絡(luò)的所有主機(jī)都對(duì)此ICMP應(yīng)答請(qǐng)求作出答復(fù)，導(dǎo)致網(wǎng)絡(luò)阻塞。它比ping of death洪水的流量高出1或2個(gè)數(shù)量級(jí)。更加復(fù)雜的Smurf將源地址改為第三方的受害者，最終導(dǎo)致第三方崩潰。

8.Fraggle攻擊

原理：Fraggle攻擊實(shí)際上就是對(duì)Smurf攻擊作了簡(jiǎn)單的修改，使用的是UDP應(yīng)答消息而非ICMP。

J.Mirkovic和P. Reiher [Mirkovic04]提出了拒絕服務(wù)攻擊的屬性分類法，即將攻擊屬性分為攻擊靜態(tài)屬性、攻擊動(dòng)態(tài)屬性和攻擊交互屬性三類，根據(jù)DoS攻擊的這些屬性的不同，就可以對(duì)攻擊進(jìn)行詳細(xì)的分類。凡是在攻擊開(kāi)始前就已經(jīng)確定，在一次連續(xù)的攻擊中通常不會(huì)再發(fā)生改變的屬性，稱為攻擊靜態(tài)屬性。攻擊靜態(tài)屬性是由攻擊者和攻擊本身所確定的，是攻擊基本的屬性。那些在攻擊過(guò)程中可以進(jìn)行動(dòng)態(tài)改變的屬性，如攻擊的目標(biāo)選取、時(shí)間選擇、使用源地址的方式，稱為攻擊動(dòng)態(tài)屬性。而那些不僅與攻擊者相關(guān)而且與具體受害者的配置、檢測(cè)與服務(wù)能力也有關(guān)系的屬性，稱為攻擊交互屬性。

1．攻擊靜態(tài)屬性（Static）

攻擊靜態(tài)屬性主要包括攻擊控制模式、攻擊通信模式、攻擊技術(shù)原理、攻擊協(xié)議和攻擊協(xié)議層等。

（1）攻擊控制方式（ControlMode）

攻擊控制方式直接關(guān)系到攻擊源的隱蔽程度。根據(jù)攻擊者控制攻擊機(jī)的方式可以分為以下三個(gè)等級(jí)：直接控制方式（Direct）、間接控制方式（Indirect）和自動(dòng)控制方式（Auto）。

最早的拒絕服務(wù)攻擊通常是手工直接進(jìn)行的，即對(duì)目標(biāo)的確定、攻擊的發(fā)起和中止都是由用戶直接在攻擊主機(jī)上進(jìn)行手工操作的。這種攻擊追蹤起來(lái)相對(duì)容易，如果能對(duì)攻擊包進(jìn)行準(zhǔn)確的追蹤，通常就能找到攻擊者所在的位置。由于直接控制方式存在的缺點(diǎn)和攻擊者想要控制大量攻擊機(jī)發(fā)起更大規(guī)模攻擊的需求，攻擊者開(kāi)始構(gòu)建多層結(jié)構(gòu)的攻擊網(wǎng)絡(luò)。多層結(jié)構(gòu)的攻擊網(wǎng)絡(luò)給針對(duì)這種攻擊的追蹤帶來(lái)很大困難，受害者在追蹤到攻擊機(jī)之后，還需要從攻擊機(jī)出發(fā)繼續(xù)追蹤控制器，如果攻擊者到最后一層控制器之間存在多重跳板時(shí)，還需要進(jìn)行多次追蹤才能最終找到攻擊者，這種追蹤不僅需要人工進(jìn)行操作，耗費(fèi)時(shí)間長(zhǎng)，而且對(duì)技術(shù)也有很高的要求。這種攻擊模式，是目前最常用的一種攻擊模式。自動(dòng)攻擊方式，是在釋放的蠕蟲(chóng)或攻擊程序中預(yù)先設(shè)定了攻擊模式，使其在特定時(shí)刻對(duì)指定目標(biāo)發(fā)起攻擊。這種方式的攻擊，從攻擊機(jī)往往難以對(duì)攻擊者進(jìn)行追蹤，但是這種控制方式的攻擊對(duì)技術(shù)要求也很高。Mydoom蠕蟲(chóng)對(duì)SCO網(wǎng)站和Microsoft網(wǎng)站的攻擊就屬于第三種類型[TA04-028A]。 （2）攻擊通信方式（CommMode）

在間接控制的攻擊中，控制者和攻擊機(jī)之間可以使用多種通信方式，它們之間使用的通信方式也是影響追蹤難度的重要因素之一。攻擊通信方式可以分為三種方式，分別是：雙向通信方式（bi）、單向通信方式（mono）和間接通信方式（indirection）。

雙向通信方式是指根據(jù)攻擊端接收到的控制數(shù)據(jù)包中包含了控制者的真實(shí)IP地址，例如當(dāng)控制器使用TCP與攻擊機(jī)連接時(shí)，該通信方式就是雙向通信。這種通信方式，可以很容易地從攻擊機(jī)查找到其上一級(jí)的控制器。

單向通信方式指的是攻擊者向攻擊機(jī)發(fā)送指令時(shí)的數(shù)據(jù)包并不包含發(fā)送者的真實(shí)地址信息，例如用偽造IP地址的UDP包向攻擊機(jī)發(fā)送指令。這一類的攻擊很難從攻擊機(jī)查找到控制器，只有通過(guò)包標(biāo)記等IP追蹤手段，才有可能查找到給攻擊機(jī)發(fā)送指令的機(jī)器的真實(shí)地址。但是，這種通信方式在控制上存在若干局限性，例如控制者難以得到攻擊機(jī)的信息反饋和狀態(tài)。

間接通信方式是一種通過(guò)第三者進(jìn)行交換的雙向通信方式，這種通信方式具有隱蔽性強(qiáng)、難以追蹤、難以監(jiān)控和過(guò)濾等特點(diǎn)，對(duì)攻擊機(jī)的審計(jì)和追蹤往往只能追溯到某個(gè)被用于通信中介的公用服務(wù)器上就再難以繼續(xù)進(jìn)行。這種通信方式目前已發(fā)現(xiàn)的主要是通過(guò)IRC（Internet Relay Chat）進(jìn)行通信[Jose Nazario]，從2000年8月出現(xiàn)的名為Trinity的DDoS攻擊工具開(kāi)始，已經(jīng)有多種DDoS攻擊工具及蠕蟲(chóng)采納了這種通信方式。在基于IRC的傀儡網(wǎng)絡(luò)中，若干攻擊者連接到Internet上的某個(gè)IRC服務(wù)器上，并通過(guò)服務(wù)器的聊天程序向傀儡主機(jī)發(fā)送指令。

（3）攻擊原理（Principle）

DoS攻擊原理主要分為兩種，分別是：語(yǔ)義攻擊（Semantic）和暴力攻擊（Brute）。

語(yǔ)義攻擊指的是利用目標(biāo)系統(tǒng)實(shí)現(xiàn)時(shí)的缺陷和漏洞，對(duì)目標(biāo)主機(jī)進(jìn)行的拒絕服務(wù)攻擊，這種攻擊往往不需要攻擊者具有很高的攻擊帶寬，有時(shí)只需要發(fā)送1個(gè)數(shù)據(jù)包就可以達(dá)到攻擊目的，對(duì)這種攻擊的防范只需要修補(bǔ)系統(tǒng)中存在的缺陷即可。暴力攻擊指的是不需要目標(biāo)系統(tǒng)存在漏洞或缺陷，而是僅僅靠發(fā)送超過(guò)目標(biāo)系統(tǒng)服務(wù)能力的服務(wù)請(qǐng)求數(shù)量來(lái)達(dá)到攻擊的目的，也就是通常所說(shuō)的風(fēng)暴攻擊。所以防御這類攻擊必須借助于受害者上游路由器等的幫助，對(duì)攻擊數(shù)據(jù)進(jìn)行過(guò)濾或分流。某些攻擊方式，兼具語(yǔ)義和暴力兩種攻擊的特征，比如SYN風(fēng)暴攻擊，雖然利用了TCP協(xié)議本身的缺陷，但仍然需要攻擊者發(fā)送大量的攻擊請(qǐng)求，用戶要防御這種攻擊，不僅需要對(duì)系統(tǒng)本身進(jìn)行增強(qiáng)，而且也需要增大資源的服務(wù)能力。還有一些攻擊方式，是利用系統(tǒng)設(shè)計(jì)缺陷，產(chǎn)生比攻擊者帶寬更高的通信數(shù)據(jù)來(lái)進(jìn)行暴力攻擊的。

（4）攻擊協(xié)議層（ProLayer）

攻擊所在的TCP/IP協(xié)議層可以分為以下四類：數(shù)據(jù)鏈路層、網(wǎng)絡(luò)層、傳輸層和應(yīng)用層。

數(shù)據(jù)鏈路層的拒絕服務(wù)攻擊[Convery] [Fischbach01][Fischbach02]受協(xié)議本身限制，只能發(fā)生在局域網(wǎng)內(nèi)部，這種類型的攻擊比較少見(jiàn)。針對(duì)IP層的攻擊主要是針對(duì)目標(biāo)系統(tǒng)處理IP包時(shí)所出現(xiàn)的漏洞進(jìn)行的，如IP碎片攻擊[Anderson01]，針對(duì)傳輸層的攻擊在實(shí)際中出現(xiàn)較多，SYN風(fēng)暴、ACK風(fēng)暴等都是這類攻擊，面向應(yīng)用層的攻擊也較多，劇毒包攻擊中很多利用應(yīng)用程序漏洞的（例如緩沖區(qū)溢出的攻擊）都屬于此類型。 （5）攻擊協(xié)議（ProName）

攻擊所涉及的最高層的具體協(xié)議，如SMTP、ICMP、UDP、HTTP等。攻擊所涉及的協(xié)議層越高，則受害者對(duì)攻擊包進(jìn)行分析所需消耗的計(jì)算資源就越大。

2．攻擊動(dòng)態(tài)屬性（Dynamic）

攻擊動(dòng)態(tài)屬性主要包括攻擊源地址類型、攻擊包數(shù)據(jù)生成模式和攻擊目標(biāo)類型。

（1）攻擊源地址類型（SourceIP）

攻擊者在攻擊包中使用的源地址類型可以分為三種：真實(shí)地址（True）、偽造合法地址（Forge Legal）和偽造非法地址（Forge Illegal）。

攻擊時(shí)攻擊者可以使用合法的IP地址，也可以使用偽造的IP地址。偽造的IP地址可以使攻擊者更容易逃避追蹤，同時(shí)增大受害者對(duì)攻擊包進(jìn)行鑒別、過(guò)濾的難度，但某些類型的攻擊必須使用真實(shí)的IP地址，例如連接耗盡攻擊。使用真實(shí)IP地址的攻擊方式由于易被追蹤和防御等原因，近些年來(lái)使用比例逐漸下降。使用偽造IP地址的攻擊又分為兩種情況：一種是使用網(wǎng)絡(luò)中已存在的IP地址，這種偽造方式也是反射攻擊所必需的源地址類型；另外一種是使用網(wǎng)絡(luò)中尚未分配或者是保留的IP地址（例如192.168.0.0/16、172.16.0.0/12等內(nèi)部網(wǎng)絡(luò)保留地址[RFC1918]）。

（2）攻擊包數(shù)據(jù)生成模式（DataMode）

攻擊包中包含的數(shù)據(jù)信息模式主要有5種：不需要生成數(shù)據(jù)（None）、統(tǒng)一生成模式（Unique）、隨機(jī)生成模式（Random）、字典模式（Dictionary）和生成函數(shù)模式（Function）。

在攻擊者實(shí)施風(fēng)暴式拒絕服務(wù)攻擊時(shí)，攻擊者需要發(fā)送大量的數(shù)據(jù)包到目標(biāo)主機(jī)，這些數(shù)據(jù)包所包含的數(shù)據(jù)信息載荷可以有多種生成模式，不同的生成模式對(duì)受害者在攻擊包的檢測(cè)和過(guò)濾能力方面有很大的影響。某些攻擊包不需要包含載荷或者只需包含適當(dāng)?shù)墓潭ǖ妮d荷，例如SYN風(fēng)暴攻擊和ACK風(fēng)暴攻擊，這兩種攻擊發(fā)送的數(shù)據(jù)包中的載荷都是空的，所以這種攻擊是無(wú)法通過(guò)載荷進(jìn)行分析的。但是對(duì)于另外一些類型的攻擊包，就需要攜帶相應(yīng)的載荷。

（3）攻擊目標(biāo)類型（Target）

攻擊目標(biāo)類型可以分為以下6類：應(yīng)用程序（Application）、系統(tǒng)（System）、網(wǎng)絡(luò)關(guān)鍵資源（Critical）、網(wǎng)絡(luò)（Network）、網(wǎng)絡(luò)基礎(chǔ)設(shè)施（Infrastructure）和因特網(wǎng)（Internet）。

針對(duì)特定應(yīng)用程序的攻擊是較為常見(jiàn)的攻擊方式，其中以劇毒包攻擊較多，它包括針對(duì)特定程序的，利用應(yīng)用程序漏洞進(jìn)行的拒絕服務(wù)攻擊，以及針對(duì)一類應(yīng)用的，使用連接耗盡方式進(jìn)行的拒絕服務(wù)攻擊。針對(duì)系統(tǒng)的攻擊也很常見(jiàn)，像SYN風(fēng)暴、UDP風(fēng)暴[CA-1996-01]以及可以導(dǎo)致系統(tǒng)崩潰、重啟的劇毒包攻擊都可以導(dǎo)致整個(gè)系統(tǒng)難以提供服務(wù)。針對(duì)網(wǎng)絡(luò)關(guān)鍵資源的攻擊包括對(duì)特定DNS、路由器的攻擊。而面向網(wǎng)絡(luò)的攻擊指的是將整個(gè)局域網(wǎng)的所有主機(jī)作為目標(biāo)進(jìn)行的攻擊。針對(duì)網(wǎng)絡(luò)基礎(chǔ)設(shè)施的攻擊需要攻擊者擁有相當(dāng)?shù)馁Y源和技術(shù)，攻擊目標(biāo)是根域名服務(wù)器、主干網(wǎng)核心路由器、大型證書(shū)服務(wù)器等網(wǎng)絡(luò)基礎(chǔ)設(shè)施，這種攻擊發(fā)生次數(shù)雖然不多，但一旦攻擊成功，造成的損失是難以估量的[Naraine02]。針對(duì)Internet的攻擊是指通過(guò)蠕蟲(chóng)、病毒發(fā)起的，在整個(gè)Internet上蔓延并導(dǎo)致大量主機(jī)、網(wǎng)絡(luò)拒絕服務(wù)的攻擊，這種攻擊的損失尤為嚴(yán)重。

3．交互屬性（Mutual）

攻擊的動(dòng)態(tài)屬性不僅與攻擊者的攻擊方式、能力有關(guān)，也與受害者的能力有關(guān)。主要包括攻擊的可檢測(cè)程度和攻擊影響。

（1）可檢測(cè)程度（Detective）

根據(jù)能否對(duì)攻擊數(shù)據(jù)包進(jìn)行檢測(cè)和過(guò)濾，受害者對(duì)攻擊數(shù)據(jù)的檢測(cè)能力從低到高分為以下三個(gè)等級(jí)：可過(guò)濾（Filterable）、有特征但無(wú)法過(guò)濾（Unfilterable）和無(wú)法識(shí)別（Noncharacterizable）。

（2）攻擊影響（Impact）

根據(jù)攻擊對(duì)目標(biāo)造成的破壞程度，攻擊影響自低向高可以分為：無(wú)效（None）、服務(wù)降低（Degrade）、可自恢復(fù)的服務(wù)破壞（Self-recoverable）、可人工恢復(fù)的服務(wù)破壞（Manu-recoverable）以及不可恢復(fù)的服務(wù)破壞（Non-recoverable）。

如果目標(biāo)系統(tǒng)在拒絕服務(wù)攻擊發(fā)生時(shí)，仍然可以提供正常服務(wù)，則該攻擊是無(wú)效的攻擊。如果攻擊能力不足以導(dǎo)致目標(biāo)完全拒絕服務(wù)，但造成了目標(biāo)的服務(wù)能力降低，這種效果稱之為服務(wù)降低。而當(dāng)攻擊能力達(dá)到一定程度時(shí)，攻擊就可以使目標(biāo)完全喪失服務(wù)能力，稱之為服務(wù)破壞。服務(wù)破壞又可以分為可恢復(fù)的服務(wù)破壞和不可恢復(fù)的服務(wù)破壞，目前網(wǎng)絡(luò)拒絕服務(wù)攻擊所造成的服務(wù)破壞通常都是可恢復(fù)的。一般來(lái)說(shuō)，風(fēng)暴型的DDoS攻擊所導(dǎo)致的服務(wù)破壞都是可以自恢復(fù)的，當(dāng)攻擊數(shù)據(jù)流消失時(shí)，目標(biāo)就可以恢復(fù)正常工作狀態(tài)。而某些利用系統(tǒng)漏洞的攻擊可以導(dǎo)致目標(biāo)主機(jī)崩潰、重啟，這時(shí)就需要對(duì)系統(tǒng)進(jìn)行人工恢復(fù)；還有一些攻擊利用目標(biāo)系統(tǒng)的漏洞對(duì)目標(biāo)的文件系統(tǒng)進(jìn)行破壞，導(dǎo)致系統(tǒng)的關(guān)鍵數(shù)據(jù)丟失，往往會(huì)導(dǎo)致不可恢復(fù)的服務(wù)破壞，即使系統(tǒng)重新提供服務(wù)，仍然無(wú)法恢復(fù)到破壞之前的服務(wù)狀態(tài)。

與其他類型的攻擊一樣，攻擊者發(fā)起拒絕服務(wù)攻擊的動(dòng)機(jī)也是多種多樣的，不同的時(shí)間和場(chǎng)合發(fā)生的、由不同的攻擊者發(fā)起的、針對(duì)不同的受害者的攻擊可能有著不同的目的。這里，把拒絕服務(wù)攻擊的一些主要目的進(jìn)行歸納。需要說(shuō)明的是，這里列出的沒(méi)有也不可能包含所有的攻擊目的；同時(shí)，這些目的也不是排他性的，一次攻擊事件可能會(huì)有著多重的目的。

1．作為練習(xí)攻擊的手段

由于DoS攻擊非常簡(jiǎn)單，還可以從網(wǎng)上直接下載工具進(jìn)行自動(dòng)攻擊。因此，這種攻擊可以被一些自認(rèn)為是或者想要成為黑客而實(shí)際上是腳本小子（Script Kiddies）的人用做練習(xí)攻擊技術(shù)的手段。而其他的一些特權(quán)提升攻擊（除通過(guò)蠕蟲(chóng)等進(jìn)行自動(dòng)攻擊外），通常都會(huì)或多或少地牽涉到一些技術(shù)性的東西，從而掌握起來(lái)會(huì)有一定的難度。

2．炫耀黑客們常常以能攻破某系統(tǒng)作為向同伴炫耀，提高在黑客社會(huì)中的可信度及知名度的資本，拒絕服務(wù)攻擊雖然技術(shù)要求不是很高，有時(shí)也被一些人特別是一些“所謂的”黑客①用來(lái)炫耀。

3．仇恨或報(bào)復(fù)。仇恨或報(bào)復(fù)也常常是攻擊的動(dòng)機(jī)。尋求報(bào)復(fù)通常都基于強(qiáng)烈的感情，攻擊者可能竭盡所能地發(fā)起攻擊，因而一般具有較大的破壞性。同時(shí)，拒絕服務(wù)攻擊當(dāng)是報(bào)復(fù)者的首選攻擊方式，因?yàn)樗麄兊哪康闹饕瞧茐亩菍?duì)系統(tǒng)的控制或竊取信息。

4．惡作劇或單純?yōu)榱似茐?/p>

有些系統(tǒng)的使用需要賬戶（用戶名）和口令進(jìn)行身份認(rèn)證，而當(dāng)以某個(gè)用戶名登錄時(shí)，如果口令連續(xù)錯(cuò)誤的次數(shù)超過(guò)一定值，系統(tǒng)會(huì)鎖定該賬戶，攻擊者可以采用此方法實(shí)施對(duì)賬戶的拒絕服務(wù)攻擊。此外，我們?cè)诂F(xiàn)實(shí)生活中常常見(jiàn)到一些公共設(shè)施如通信電纜被惡意毀壞；在網(wǎng)絡(luò)社會(huì)中，類似的情況也時(shí)有發(fā)生，這些攻擊常常是為了惡作劇。

5．經(jīng)濟(jì)原因

有的攻擊者攻擊系統(tǒng)是為了某種經(jīng)濟(jì)利益，無(wú)論是直接的還是間接的。比如A、B是兩家相互競(jìng)爭(zhēng)的依賴Internet做生意的公司，如果其中一個(gè)公司的服務(wù)質(zhì)量降低或者顧客不能訪問(wèn)該公司的網(wǎng)絡(luò)，顧客可能會(huì)轉(zhuǎn)向另一家公司，則A就可能對(duì)B公司提供的網(wǎng)上服務(wù)實(shí)施拒絕服務(wù)攻擊，在這里，攻擊者A可以通過(guò)對(duì)B的攻擊而獲取經(jīng)濟(jì)利益。攻擊者也可以受雇而發(fā)起攻擊，敲詐、勒索也逐漸成為了一些攻擊者進(jìn)行拒絕服務(wù)攻擊的目的。由于拒絕服務(wù)攻擊會(huì)導(dǎo)致較大的損失，一些攻擊者以此作為敲詐勒索的手段。例如，2004年歐洲杯足球賽期間發(fā)生的一起針對(duì)一個(gè)賭博公司的敲詐案[BBC04]，攻擊者威脅說(shuō)如果該公司不付錢就會(huì)攻擊其網(wǎng)站，使之下線。在其他的重要體育賽事期間，也發(fā)生過(guò)多起類似的犯罪行為。

隨著越來(lái)越多的受害者選擇向敲詐者妥協(xié)[Reuters04]，以拒絕服務(wù)攻擊進(jìn)行敲詐勒索的案例越來(lái)越多[computerworld05]。同時(shí)，由于拒絕服務(wù)攻擊常常涉及超出國(guó)界的Internet連接，對(duì)拒絕服務(wù)攻擊這種犯罪行為的起訴也比較困難，這進(jìn)一步加劇了問(wèn)題的嚴(yán)重性。

6．政治原因

這類攻擊的目的是對(duì)某種政治思想的表達(dá)或者壓制他人的表達(dá)。如2001年5月間，由美國(guó)間諜飛機(jī)撞毀我巡邏機(jī)引發(fā)的，中美黑客之間的一場(chǎng)網(wǎng)絡(luò)大戰(zhàn)①，以及2003年伊拉克戰(zhàn)爭(zhēng)期間美國(guó)與伊拉克黑客之間的發(fā)生的相互攻擊對(duì)方國(guó)內(nèi)網(wǎng)絡(luò)的事件就屬政治原因引起的（當(dāng)然，拒絕服務(wù)攻擊只是當(dāng)時(shí)雙方采取的攻擊手段之一）。又比如，某銀行貸款給一家公司用于在某處建一對(duì)環(huán)境污染嚴(yán)重的化工廠，環(huán)境保護(hù)主義者可能會(huì)攻擊該銀行，后果或者是導(dǎo)致該銀行的損失，達(dá)到報(bào)復(fù)該銀行的目的，或者是迫使該銀行取消該項(xiàng)貸款，達(dá)到保護(hù)環(huán)境的目的。

7．信息戰(zhàn)

在戰(zhàn)爭(zhēng)條件下，交戰(zhàn)雙方如果采取信息戰(zhàn)的方式，則拒絕服務(wù)攻擊就是最常用的戰(zhàn)術(shù)手段之一。例如，1991年，在海灣戰(zhàn)爭(zhēng)開(kāi)戰(zhàn)前數(shù)周，美國(guó)特工買通了安曼國(guó)際機(jī)場(chǎng)的工作人員，用帶有病毒的芯片替換了運(yùn)往伊拉克的打印機(jī)芯片[Military] [RD13]。該病毒由美國(guó)國(guó)家安全局設(shè)計(jì)，目的就是為了破壞巴格達(dá)的防空系統(tǒng)，從而為美方的空中打擊創(chuàng)造有利條件。據(jù)一本名為《不戰(zhàn)而勝：波斯灣戰(zhàn)爭(zhēng)中未揭露的歷史》（Triumph without Victory: The Unreported History of the Persian Gulf War）的圖書(shū)稱，該病毒可以逃避層層安全檢測(cè)，當(dāng)病毒存在于計(jì)算機(jī)上時(shí)，每次伊拉克的技術(shù)人員開(kāi)一個(gè)窗口訪問(wèn)信息的時(shí)候，其計(jì)算機(jī)屏幕上的信息就會(huì)消失。有報(bào)道稱該病毒最后確實(shí)起作用了[phrack37]。這里，美方通過(guò)激發(fā)病毒使得伊拉克防空系統(tǒng)使用的打印機(jī)不能正常工作，就是一種拒絕服務(wù)攻擊。

8．作為特權(quán)提升攻擊的輔助手段

前面討論的目的都是由拒絕服務(wù)攻擊直接達(dá)到的，事實(shí)上，拒絕服務(wù)攻擊還可以作為特權(quán)提升攻擊、獲得非法訪問(wèn)的一種輔助手段。這時(shí)候，拒絕服務(wù)攻擊服從于其他攻擊的目的。通常，攻擊者不能單純通過(guò)拒絕服務(wù)攻擊獲得對(duì)某些系統(tǒng)、信息的非法訪問(wèn)，但其可作為間接手段。

許多現(xiàn)代的UNIX允許管理員設(shè)置一些限制，如限制可以使用的最大內(nèi)存、CPU時(shí)間以及可以生成的最大文件等。如果當(dāng)前正在開(kāi)發(fā)―個(gè)新的程序，而又不想偶然地使系統(tǒng)變得非常緩慢，或者使其它分享這臺(tái)主機(jī)的用戶無(wú)法使用，這些限制是很有用的。Korn Shell的ulimit命令和Shell的Iimit命令可以列出當(dāng)前程的資源限制。